Aber jetzt zum gesetzgeberischen Versagen der Bundesregierung:
Am Freitag wurde das De-Mail Gesetz verabschiedet. Hintergrund ist, das man die effektiveren und schnelleren elektronischen Dokumententransport auch für die Behörden zugänglich zu machen. Dafür werden aber im Vergleich zu E-Mail auch zusätzliche Eigenschaften gebraucht. Zum einen stehen in der Behördenpost, zum Beispiel beim Steuerbescheid oder bei Schreiben im Zusammenhang mit Verfahren, Dinge drin, die einem gesonderten, besonders hohen Vertrauen in die Geheimhaltung unterliegen. Diese sind auch durch gesonderte Strafandrohungen unterliegen, die über das Verletzen des Briefgeheimnis hinausgehen. In dem einem Fall ist es das Steuergeheimnis, in dem anderen Fall der Mandantenverrat.
Das verabschiedete Gesetzt sieht vor, das die Daten beim Transport verschlüsselt werden. Das bedeutet, das die standardmäßige Software so konfiguriert wird, das eine Verschlüsselung erzwungen wird. Das ist mit der bekannten Software möglich. Trotzdem ist das aber eine grobe Täuschung der Menschen. Das ist so, als wenn die Post wie folgt arbeiten würde:
Sie werfen einen verschlossenen Brief in den Briefkasten. Im Postamt wird der Umschlag geöffnet, dann festgestellt wo der Brief hin soll, um ihn dann in einen neuen Umschlag zu stopfen. Die so neu verpackten Briefen werden dann zum Zielpostamt gesendet. Dort werden sie dann wieder geöffnet und dort in Postfächern gelagert. Wenn der Kunde dann an den Schalter kommt, dann wird einen neuen Umschlag gepackt und dem Kunden ausgehändigt. Natürlich sind die Beamten zur Verschwiegenheit verpflichtet, zumindest so lange nicht andere Beamten z.B. von der Polizei um Amtshilfe bitten.
Dabei ist die Vertraulichkeit der E-Mail längst gelöst und in internationalen Normen abgelegt. Jedes halbwegs entwickelte E-Mail Programm, zum Beispiel Opera, Mozilla, Thunderbold, Outlook, ..., kann PKCS gesteuert Verschlüsseln. Die Verschlüsselung erfolgt also noch beim Absender. Es gibt immer zwei schlüssel. Eine öffentlichen zum Zusperren und einen weiteren, geheimen, zum Aufsperren. Dann wird die E-Mail über das allen bekannten System transportiert, um erst beim Empfänger ausgepackt. So ist das, wie Sie es vom regulären Briefverkehr kennen. So dargestellt sollte auch der nicht EDV kundige die Mogelpackung erkennen. Wie soll bei diesem Sachverhalt noch z.B. ein Mandantenverrat eingegrenzt werden?
Dieses Verfahren hat den Nachteil, das sich der Adressat bei einem Notar seinen Schlüssel zertifizieren lassen muß. Das Kostet, in einer rechtsverbindlichen Qualität, immer Geld, weswegen nur sehr wenige Menschen ein sogenanntes Zertifikat haben. Diese Kosten fallen jährlich an, weil diese Zertifikate erneuert werden müssen, um zu verhindern das angeeignete Identitäten unendlich Gültigkeit behalten. Aber dieser Aufwand ist nötig, um sogenanntes Pfishing zu verhindern. Würde dieser Aufwand nicht getrieben, könnte jemand eine Falsche Adresse inklusive Schlüssel in Umlauf bringen. Das Mitglieder der Piratenpartei bereits am ersten Tag ihres Erscheinen einen Fatalen Fehler in der Singnatursoftware des neuen Personalausweis nachweisen konnten, lag an genau so einem Angriff. Was dann dem Falschen geschrieben wird, kann der mit dem geheimen Schlüssel öffnen, dann lesen, um es dann neu einzutüten und an den richtigen Adressaten weiterleiten.
Andere Techniken, wie das OpenPGP implementiert z.B. im PGP, haben für dieses Problem einen anderen Weg gefunden. Dort bestätigen die Menschen mit ihrer digitalen Unterschrift, wen sie wie gut kennen. Diese Aussagen werden gesammelt. Beim überprüfen einer Anschrift und des zugehörigen öffentlichen Schlüssel, wird die Kette von Bekanntschaften gesucht mit dem höchsten Gesamtzuverlässigkeit hat, was nach dem kleinen Welt Theorem fast immer in 10 Schritten möglich ist. Dieses Verfahren hat, da die einzelnen Ihre Bekannten umsonst bestätigen, im Gegensatz zum PKCS5 auch Kostenfrei. Die Schlüssel die zum zu und aufschließen haben beim OpenPGP mit 4096 Bit Wikileaks tauglicher Qualität, sind also definitiv Sicher.
Bei der De-Mail wird das Problem typischerweise durch ein Postident gelöst, das aber nicht verhindert, das ein Graumarkt von toten oder nicht mehr handlungsfähigen Personen entsteht.
Neben der Tatsache, das die Schreiben beim Postamt offen herumliegen ist dann noch die Frage nach laufenden Fristen das größte Problem der rechtsverbindlichen Zustellung. Beim De-Mail dienst soll der Anbieter dem Versender den rechtsverbindlichen Erhalt der Nachricht bestätigen, damit der Startzeitpunkt einer Frist Beweis sicher festgestellt werden kann.
Das Problem ist, das ein elektronisches Ausliefern des Schreibens nicht auch sicherstellt, das das Schreiben auch dem Adressaten zu Kenntnis kommt. So kann zum Beispiel jederzeit der Strom ausfallen. Bei dem anschließenden Neustart wird das Filesystem auf Inkonsistenzen geprüft, und gefundene Inkonsistenzen werden bereinigt. Ist eine Datei noch nicht vollständig auf der Festplatte abgelegt, kann sie weg sein, ohne das der Nutzer ihre Existenz je zur Kenntnis genommen hat.
Jeder, der sich nicht gerade gestern seinen ersten Rechner bei Aldi besorgt hat, weiß, das Hardware, insbesondere auch Festplatten, immer mal wieder die Biege macht. Auch Software kann zum Totalverlust der Daten führen. Insofern steht dann der Empfänger mit dem Wissen da, das er ein Schreiben bekommen hat, ohne das er das Schreiben hat. Der De-Mail Anbieter kann seinem Kunden ein Backup anbieten, das vermutlich die meisten Nutzer in Ermangelung von Transaktion tauglichen Betriebssystemen auch zurückgreifen müssten. Dann sind aber die möglicherweisse höchst Privaten Schreiben, z.B. von der Krankenkasse, beim Anbieter für den Anbieter und Bedarfs träger der Staatlichen Ermittlungsellen länger als nötig zugänglich.
Wenn jemand nur einen Computer hat, kann dieser ja auch mal beim Hardwaresupport Urlaub machen. Das kann, in komplizierten Fällen wie zufällig auftretenden Fehlern, auch schon mal länger dauern. Alle AGB's in denen drin steht, das der Nutzer sein De-Mail fach regelmäßig zu überprüfen hat, sind somit für Leute die nur einen Computer haben, nicht akzeptabel. Den Computer eines anderen zu benutzen ist nicht zumutbar, weil diese Rechenmaschine die Daten entschlüsseln muss, und kaum ein Nutzer in der Lage ist, sich zu vergewissern, das die Daten danach nicht mehr kopiert werden. Daneben kann, wenn der Zugang über ein Passwort und nicht über eine Hardware autorisiert wird, auch der exklusive Zugang des Nutzers in falsche Hände geraten.
Wir hatten in der Piratenpartei das gleiche Problem. Die Ladungen zu den Parteitagen müssen rechtsgültig zugestellt werden. Auf der anderen Seiten wollen wir nicht 6600€ für das Versenden der Ladungen verschleudern. Die Lösung des Problems: Die Einladungen werden per normaler E-Mail verteilt. In der E-Mail ist ein Link enthalten, mit dem der Adressat den Empfang quotieren kann. Erfolgt diese Quittung nicht, wird nach 3 Tagen ein normaler Brief, Einschreiben oder was sonst nötig ist, versandt. Zusammen mit PKCS ist mit der regulären E-Mail alles vorhanden, was die Zustellung von Behördenpost nötig ist vorhanden.
Mal abgesehen das ein deutscher Sonderweg in dem weltweiten Internet eh eine Lachnummer. Wenn man schon einen Dienst irgendwie fortentwickeln will, dann hätte man eine RFC aufsetzen und einreichen müssen, und nach deren Verabschiedung dann ein passendes Deutsches Gesetz erlassen müssen. Die im De-Mail Gesetz vorgesehene Internationale Erweiterungsmöglichkeit ist mal wieder ein richtig übles Beispiel von "Am deutschen Wesen soll die Welt genesen"
1 Kommentar:
Völlig richtig.
Das Todesurteil von Verschlüsselung und elektronischer Signatur war und ist auch, das der Privatwirtschaft zu überlassen.
Ein Identitätsnachweis ist eine grundlegende staatliche Aufgabe. Sowas gehört in Staatshand, insb. da man ja keine Leistung oder Kompetenz einkauft, sondern nur das Vertrauen in eine Schlüsselstruktur und die Verfahrensabläufe.
Ein vernünftiger Staat hätte sowas kostenlos und zum Standard gemacht für jeden Bürger.
Aber der neoliberale Wahnsinn lässt sowas ja privatisieren - immerhin kann dann irgendwer damit eine Menge Geld verdienen und wählt im Zweifel FDP.
Kommentar veröffentlichen